인터넷에서 활동하는 사이버 범죄자들은, 항상 다음 사냥감을 찾고있다. 그들에게 최적의 대상 중 하나가 보안이 약한 서버이다. 왜냐하면, 서버는 향후의 활동에 도움이되는 중요한 개인 데이터가 저장되어 있기 때문이다. 해커들은 항상 이름과 이메일 주소, 비밀번호 등의 데이터를 노리고 있다.
지난 몇 년 동안 거대한 데이터를 한꺼번에 훔치는 사이버 공격이 빈발했고, 수백만 건에 달하는 개인 정보가 한 번에 도난당하게 되는 것은 드문 일이 아니다. 보안 업체의 "Shape Security"는 최근 보고서에서 "credential stuffing(암호 목록 형 공격)"이라는 공격 방법에 대해 설명했다.
Credential stuffing이라는 것은, 전용 로봇을 이용한 해킹 수법으로, 입수 한 로그인 정보를 일거에 데이터베이스에 흘려보내 특정 사이트를 공격하는 것이다. 손에 넣은 데이터가 많을수록 악성 로그인에 성공하는 확률이 높아진다.
이러한 공격은 일반 사람들이 상상하는 것보다 빈번하게 일어나고 있다. Shape Security의 데이터에서는, E 커머스 사이트에 로그인 시도의 약 90%는 실제 계정 소유자의 것이 아니라 해커에 의한 것이라고 한다. 즉, 액세스의 대부분을 credential stuffing 공격이 차지하고 있다는 것이다.
또한, 공격 대상은 E 커머스 사이트에 한정되어 있지 않다. 두 번째로 credential stuffing 공격의 대상이 되고있는 것은 항공사 사이트로, 로그인 시도 횟수의 60%를 차지하고 있다고 한다. 세 번째는 온라인 뱅킹으로 58%, 4위가 호텔 사이트로 44%로 되어있다.
해커가 이러한 사이트를 선호하는 데는 이유가 있다. 그들은 여기에서 결제에 사용된 카드 정보를 훔쳐 부정한 결제에 이용하려고 시도하는 것이다.
Shape Security에 따르면, credential stuffing 공격의 성공 확률은 3%에 이르고 있다고 한다. 그다지 큰 숫자는 생각되지 않을 수도 있지만, 100만 회 정도에 3만건의 부정 로그인에 성공하고 있는 셈이다. 여기에서 얻을 수 있는 교훈은, 암호의 복잡성이 얼마나 중요한지이다. 여러 사이트에서 동일한 비밀번호를 사용하는 것은 절대 피해야 한다.
